"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 60852 208 Thread rating
Posts

wergor

fantasiebefreit
Avatar
Registered: Jul 2005
Location: graz
Posts: 3229
colo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler :D

charmin

zurück vong zukunft her
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 9519
Zitat aus einem Post von wergor
colo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler :D

Same. Hab ausserdem zusätzlich meine kompletten Daten auf eine externe HDD gesichert. Inkl Backups der wichtigsten Ordner und config files.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location:
Posts: 17620
Muss man beachten wie die eigene Config aussieht, oder trifft das nur zu wenn der Fix noch nicht installiert wurde (bzw. ändert der Fix einfach nur die Config)?

charmin

zurück vong zukunft her
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 9519
was genau meinst du? die nginx config?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location:
Posts: 17620
Yep, hab letztens auch so Infos gelesen wie z.B. hier (https://www.nginx.com/blog/php-fpm-...rability-nginx/) dass man z.B. via try_files überprüfen sollte ob ein File auch tatsächlich vorhanden ist.

Version bei mir ist sowieso schon 7.3.11-1+ubuntu18.04.1+deb.sury.org+1

Ich frage nur weil bei einem Update letztens Änderungen in der default config gab und das habe ich eben nicht in meiner derzeitigen Installation abgeglichen. (kann aber auch sein dass diese Änderung gar nichts mit dieser Vulnerability zu tun hat)
Bearbeitet von daisho am 22.11.2019, 16:08

mr.nice.

Newsposter
OC Addicted
Avatar
Registered: Jun 2004
Location: Wien
Posts: 4578
Der in Kabelmodems integrierte Spektrumanalysator, der Signalstörungen im Koaxialnetz abfangen soll, kann über bösartigen Java Script Code aus dem lokalen Netzwerk manipuliert werden und somit die Kontrolle über das Modem übernehmen. Teilweise findet gar keine Authentifizierung statt, teilweise werden Standardpasswörter ausgenutzt.


Damit könnte man testen, ob das eigene Modem betroffen ist:
https://github.com/Lyrebirds/cable-...nerability-test

Kirby

Little Overclocker
Avatar
Registered: Jun 2017
Location: Tyrol/Carinthia
Posts: 90
interresant. mal schaun wann das exploit auf die exploit-db geladen wird. wenn nicht schon vorhanden.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 7673

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15017
zwecks der vollständigkeit:
die war wirklich heftig. und vorallem über ein monat kein patch sondern nur workaround.
citrix netscaler wurden der reihe nach spielend übernommen. ziemliches disaster auf einem vpn/reverxeproxy-device.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15017
und das einfach classic microsoft:
aufgrund von änderungen in windows10 und server ab 2016, fallen sie auf gefälschte x509 zertifikate mit eliptic curve key rein.
problem an der sache ist, dass dadurch jedes zertifikat gefälscht werden kann, ganz egal ob die ursprüngliche seite EC oder RSA einsetzt.
fun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.

Rektal

OC Addicted
Registered: Dec 2002
Location: Inside
Posts: 4208
Zitat aus einem Post von Smut
fun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.
wow, krass.

Das ist irgendwie ein Beispiel das gut zeigt, du kannst hier einfach echt nicht gewinnen.

Umgekehrt koentn genausogut im Firefox code der ultimative security bug sein und die Win-API haette keinen.

No one wins, all loose :/

mr.nice.

Newsposter
OC Addicted
Avatar
Registered: Jun 2004
Location: Wien
Posts: 4578
Man fragt sich, was damit alles schon angestellt wurde, bevor die Lücke von Kriminellen ausgenutzt wurde,
öffentliche Einrichtungen wie Krankenhäuser mit cryptolockern lahmgelegt wurden und die NSA sich gezwungen sah zu veröffentlichen.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 38783
Ich glaub der NSA sind Krankenhäuser und Kryptolocker wurscht.

Interessanter wirds beim Militär und wenn das die Chinesen und Russen ausnutzen.

Lustig ist ja das MS nur wegen der NSA (bzw den Vorgaben für die Ausschreibungen) den EC Code eingeführt hat. Der ist halt sehr schwer stabil zu implementieren weshalb es einige Gegenvorschläge gibt

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15017
Achtung, der Fehler war nicht direkt innerhalb der EC crypto Implementierung sondern bei der Validierung des x509 Zertifikates.
Unabhängig davon präferiert Windows seit ein paar Monaten alle TLS cipher suites mit ECC - diese Lücke hat darauf aber keinen Einfluss!
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz